Autenticazione LDAP con Microsoft Entra ID

LDAP (Lightweight Directory Access Protocol) è un protocollo di applicazione per l'uso con vari servizi directory. I servizi directory, ad esempio Active Directory, archiviano le informazioni sull'utente e sull'account e le informazioni di sicurezza, ad esempio le password. Il servizio consente quindi di condividere le informazioni con altri dispositivi in rete. Le applicazioni aziendali, ad esempio la posta elettronica, CRM (Customer Relationship Management) e il software delle Risorse umane possono usare LDAP per eseguire l'autenticazione, accedere e trovare informazioni.

Microsoft Entra ID supporta questo modello tramite Microsoft Entra Domain Services (AD DS). Consente alle organizzazioni che adottano una strategia cloud-first di modernizzare il proprio ambiente spostando le risorse locali LDAP nel cloud. I vantaggi immediati saranno:

• Integrato con strumenti Microsoft Entra ID. Le aggiunte di utenti e gruppi o le modifiche degli attributi ai relativi oggetti vengono sincronizzate automaticamente dal tenant di Microsoft Entra ad Active Directory Domain Services. Le modifiche apportate agli oggetti in Active Directory locale vengono sincronizzate con Microsoft Entra ID e quindi con Active Directory Domain Services.

• Semplificare le operazioni. Riduce la necessità di mantenere e applicare manualmente le patch alle infrastrutture locali.

• Attendibile. Si ottengono servizi gestiti a disponibilità elevata

Utilizzare se

È necessario che un'applicazione o un servizio usi l'autenticazione LDAP.

Componenti del sistema

• Utente: accede alle applicazioni dipendenti da LDAP tramite un browser.

• Web browser: l'interfaccia con cui l'utente interagisce per accedere all'URL esterno dell'applicazione.

• Rete virtuale: una rete privata in Azure tramite cui l'applicazione legacy può usare i servizi LDAP.

• Applicazioni legacy: applicazioni o carichi di lavoro server che richiedono LDAP distribuito in una rete virtuale in Azure o che hanno visibilità sugli IP dell'istanza di Active Directory Domain Services tramite route di rete.

• Microsoft Entra ID: sincronizza le informazioni sull'identità dalla directory locale dell'organizzazione tramite Microsoft Entra Connect.

• Microsoft Entra Domain Services (AD DS): esegue una sincronizzazione unidirezionale da Microsoft Entra ID per fornire l'accesso a un set centrale di utenti, gruppi e credenziali. L'istanza di Active Directory Domain Services viene assegnata a una rete virtuale. Le applicazioni, i servizi e le macchine virtuali in Azure che si connettono alla rete virtuale assegnata ad Active Directory Domain Services possono usare funzionalità comuni di Active Directory Domain Services, ad esempio LDAP, aggiunta a dominio, criteri di gruppo, Kerberos e autenticazione NTLM.

  Nota

  Negli ambienti in cui l'organizzazione non può sincronizzare gli hash delle password o gli utenti accedono tramite smart card, è consigliabile usare una foresta di risorse in Active Directory Domain Services.

• Microsoft Entra Connect: è uno strumento per sincronizzare le informazioni sull'identità locale con Microsoft Entra ID. La distribuzione guidata e le esperienze guidate consentono di configurare i prerequisiti e i componenti necessari alla connessione, inclusa la sincronizzazione e l'accesso da Active Directory a Microsoft Entra ID.

• Active Directory: servizio directory che archivia informazioni sull'identità locale, ad esempio informazioni sull'utente e sull'account e informazioni di sicurezza come le password.

Implementare l'autenticazione LDAP con Microsoft Entra ID

• Creare e configurare un'istanza di Microsoft Entra Domain Services

• Configurare la rete virtuale per un'istanza di Microsoft Entra Domain Services

• Configurare l'accesso LDAP sicuro (LDAPS) per un dominio gestito di Microsoft Entra Domain Services

• Creare un trust tra foreste in uscita per un dominio locale in Microsoft Entra Domain Services